GoTo-Hacker erbeuten verschlüsselte Backups inklusive Schlüssel

Unbekannte Angreifer konnten auf Kundendaten von GoTo (früher LogMeIn) zugreifen. Darunter sollen sich neben Nutzernamen auch Passwörter und Multi-Faktor-Authentication-Informationen (MFA) befinden.

Betroffene Daten

Der Hack fand bereits im November 2022 statt. Nun hat der Anbieter von Software-as-a-Service und Remote-Work-Tools weitere Details in einem Statement veröffentlicht. Daraus geht hervor, dass die Eindringlinge auf einen Cloud-Speicher eines Drittanbieters zugreifen konnten, um dort verschlüsselte Backups zu kopieren. Davon sollen nach jetzigem Kenntnisstand die GoTo-Produkte Central, Pro, join.me, Hamachi und RemotelyAnywhere betroffen sein.

Bei dem Zugriff sollen die Angreifer aber auch einen Schlüssel erbeutet haben, mit dem sie auf einen Teil der Backups zugreifen könnten. Darin sollen sich unter anderem Nutzernamen und geschützte Passwörter (Hash plus Salt) von Central und Pro befinden. Außerdem sind E-Mail-Adressen und Telefonnummern geleakt. Bezahldaten, wie vollständige Kreditkartennummern, sollen nicht dabei sein, versichert GoTo.

Reaktion von GoTo

Das Unternehmen gibt an, betroffene Kunden mit Tipps zur Absicherung ihrer Accounts kontaktiert zu haben. Zusätzlich versichern sie, die Passwörter und MFA von einigen Kunden zurückgesetzt zu haben. Zudem haben sie eigenen Angaben zufolge deren Accounts automatisch auf eine Identity Management Platform mit erweiterten Schutzregeln migriert.

Unklar ist, welches Hash-Verfahren zum Einsatz kam. Damit steht und fällt, ob die Angreifer Passwörter knacken können oder nicht. Derzeit ist auch noch unbekannt, wie die Angreifer sich Zugriff auf die GoTo-Systeme verschafft haben. Die Ermittlungen dauern noch an.

Bei der Tochtergesellschaft von GoTo LastPass kam es ebenfalls zu einem IT-Sicherheitsvorfall, bei dem Angreifer auf Kundendaten zugreifen konnten.

(des)